Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Aplica-se a:✅Armazém de dados no Microsoft Fabric
O Fabric Data Warehouse criptografa todos os dados em repouso por padrão, garantindo que suas informações sejam protegidas por meio de chaves gerenciadas pela Microsoft.
Além disso, você pode aprimorar sua postura de segurança usando CMK (chaves gerenciadas pelo cliente), fornecendo controle direto sobre as chaves de criptografia que protegem seus dados e metadados.
Quando você habilita o CMK para um workspace que contém um Fabric Data Warehouse, os dados do OneLake e os metadados do data warehouse são protegidos usando suas chaves de criptografia que estão hospedadas no Azure Key Vault. Com chaves gerenciadas pelo cliente, você pode conectar seu workspace do Fabric diretamente ao seu próprio Azure Key Vault. Você mantém controle total sobre a criação, o acesso e a rotação de chaves, garantindo a conformidade com as políticas de segurança e governança da sua organização.
Para começar a configurar o CMK para o seu workspace do Fabric, consulte Chaves gerenciadas pelo cliente para workspaces do Fabric.
Como a criptografia de dados funciona no Fabric Data Warehouse
O Fabric Data Warehouse segue um modelo de criptografia de várias camadas para garantir que seus dados permaneçam protegidos em repouso e transitórios em uso.
Front-end do SQL: Criptografa metadados (tabelas, exibições, funções, procedimentos armazenados).
Pool de computação de back-end: Usa caches efêmeros; nenhum dado é deixado em repouso.
OneLake: Todos os dados persistentes são criptografados.
Criptografia de camada de front-end do SQL
Quando o CMK está habilitado para o workspace, o Fabric Data Warehouse também usa sua chave gerenciada pelo cliente para criptografar metadados, como definições de tabela, procedimentos armazenados, funções e informações de esquema.
Isso garante que seus dados no OneLake e os metadados que contêm dados pessoais no warehouse sejam criptografados com sua própria chave.
Criptografia da camada do pool de computação de back-end
O back-end de computação do Fabric processa consultas em um ambiente efêmero baseado em cache. Nenhum dado é deixado em repouso nesses caches. Como o Fabric Warehouse remove todo o conteúdo do cache de back-end após o uso, os dados transitórios nunca persistem além do tempo de vida da sessão.
Devido à sua natureza de curta duração, os caches de back-end são criptografados apenas com chaves gerenciadas pela Microsoft e não estão sujeitos à criptografia por CMK, por motivos de desempenho. Os caches de back-end são automaticamente limpos e regenerados como parte das operações normais de computação.
Criptografia de camada do OneLake
Todos os dados armazenados no OneLake são criptografados em repouso usando chaves gerenciadas pela Microsoft por padrão.
Quando o CMK está habilitado, sua chave gerenciada pelo cliente (armazenada no Azure Key Vault) é usada para criptografar as DEKs (chaves de criptografia de dados), fornecendo um envelope adicional de proteção. Você mantém o controle sobre rotação de chaves, políticas de acesso e auditoria.
Importante
Em workspaces habilitados para CMK, todos os dados do OneLake são criptografados usando suas chaves gerenciadas pelo cliente.
Limitações
Antes de habilitar o CMK para o Fabric Data Warehouse, examine as seguintes considerações:
Atraso na propagação da chave: quando uma chave é girada, atualizada ou substituída no Azure Key Vault, pode haver um atraso de propagação antes da camada SQL do Fabric. Em determinadas condições, esse atraso pode levar até 20 minutos antes que as conexões SQL sejam restabelecidas com a nova chave.
Cache de back-end: os dados processados pelo pool de computação de back-end do Fabric não são criptografados com o CMK em repouso devido à sua natureza de curta duração na memória. O Fabric remove automaticamente os dados armazenados em cache após cada uso.
Disponibilidade do serviço durante a revogação de chave: se o CMK se tornar inacessível ou revogado, as operações de leitura e gravação no workspace falharão até que o acesso à chave seja restaurado.
Suporte à DMV: como a configuração do CMK é estabelecida e configurada no nível do workspace, você não pode usar
sys.dm_database_encryption_keyspara exibir o status de criptografia do banco de dados; isso ocorre exclusivamente no Nível do Workspace.Restrições de firewall: o CMK não tem suporte quando o firewall do Azure Key Vault está habilitado.
As consultas no editor de consultas do portal Fabric no Explorador de Objetos não são criptografadas com CMK.